Kommerzielle DatenbergeWenn sich Geheimdienste sensible Daten aus Smartphone-Apps besorgen

Bewegungsprofile oder Hinweise auf die Religionszugehörigkeit: Geheimdienste kaufen solche sensiblen Daten zunehmend bei Datenhändlern ein. Damit unterlaufen Dienste in demokratischen Staaten jedoch verfassungsrechtliche Mindeststandards, warnt ein aktuelles Forderungspapier.

Deutsche Geheimdienste können sich derzeit praktisch uneingeschränkt an Datenbergen bedienen, die sich auf dem freien Markt erwerben lassen. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Shotshop

Oft klagen deutsche Geheimdienste darüber, wie bürokratisiert ihr Alltag ist, voller Auflagen und lästiger Kontrolleure. Doch in einem Bereich können sie bis auf Weiteres beinahe uneingeschränkt walten: Sie kaufen auf Datenmärkten Informationen aus öffentlich zugänglichen Quellen ein, darunter haufenweise personenbezogene Daten. Dazu zählen etwa Standortdaten, Wohnadressen oder Interessenprofile, die bei der Internetnutzung anfallen und meist für Werbezwecke verwertet werden.

Solche Datenkäufe würden jedoch verfassungsrechtliche Mindeststandards unterlaufen, argumentiert eine aktuelle Untersuchung der Denkfabrik Interface (vormals Stiftung Neue Verantwortung, SNV). Anders als bei sonstigen Methoden der Informationsbeschaffung bräuchten die Dienste hierbei weder Genehmigungen, noch werde die Verwendung von gekauften Daten im Nachhinein ausreichend kontrolliert.

Geheimdienste könnten auf diesem Weg an Informationen gelangen, „deren Erhebung mit anderen nachrichtendienstlichen Mitteln niemals gestattet gewesen wäre oder zumindest umfangreiche Genehmigungsverfahren vorausgesetzt hätte“, schreiben die Autoren Corbinian Ruckerbauer und Thorsten Wetzling. Bei schweren Grundrechtseingriffen brauche es jedoch eine ähnliche Regelungs- und Kontrolldichte, wie sie bei anderen Methoden der Informationsbeschaffung vorgesehen sei. „Der Ankauf von Werbedatenbanken sollte daher dringend einer besseren Regulierung und umfassenderen Kontrolle zugeführt werden“, fordert das Papier.

Kommerzielle Datenhalden weltweit Praxis

Tatsächlich finden sich Verweise auf die Problematik im Entwurf des überarbeiteten BND-Gesetzes, das unter anderem systematisierte Regelungen zur Informationsbeschaffung verspricht. Mehrfach verweist die Gesetzesbegründung auf allgemein zugängliche Informationen aus kommerziellen Quellen, darunter jene aus „umfänglichen Werbedatenbanken und anderen Datenbanken mit vergleichbarer Eingriffsintensität“. Gezielt zusammengetragen und ausgewertet könnte sich daraus eine „besondere Gefahrenlage für die Persönlichkeit des Betroffenen ergeben“, heißt es in dem Entwurf.

Neu ist das Problem beileibe nicht, seit mittlerweile Jahrzehnten verweisen Datenschützer:innen auf das Missbrauchspotenzial solcher Datenberge. Diese wachsen unablässig, sind sie doch die Grundlage für zahlreiche Geschäftsmodelle im Internet. Inzwischen sei das Online-Werbesystem ein „ernstes Sicherheitsrisiko“, warnte etwa die irische Nichtregierungsorganisation ICCL im Vorjahr. Der Werbemarkt sei „eine Goldgrube an Erkenntnissen“ für Geheimdienste und nichtstaatliche Akteure, so der ICCL-Bericht. Wiederholt hatten Recherchen nachgewiesen, wie eng uns Datenhändler auf die Pelle rücken und wie Daten aus scheinbar harmlosen Apps an staatliche Stellen gelangen.

Vier Kernforderungen

Im Unterschied zu anderen demokratischen Staaten gebe es hierzulande zwar noch keine konkreten, öffentlich bekannten Fälle über derartigen Datenschacher, betont das Papier von Interface. Doch allein die Formulierungen im geplanten BND-Gesetz ließen den Schluss zu, dass dies längst geschehe und sich neben dem BND auch andere deutsche Dienste dieser Praxis der Informationsbeschaffung bedienten. Die angekündigte Reform des Nachrichtendienstrechts biete deshalb die Chance, die gravierenden Defizite beim Rechtsrahmen und der Kontrolle zu beseitigen.

Dazu schlagen die Autoren vor, beim Datenkauf eine Systematisierung der Grundrechtseingriffe vorzunehmen; gesonderte Sicherungsmechanismen für Datenkäufe mit besonders schweren Auswirkungen auf Grundrechte zu schaffen; Mindestanforderungen auch für den Kauf von Daten mit geringerer Grundrechtsrelevanz zu definieren; und schließlich den Austausch der deutschen Kontrollinstanzen mit ihren Kolleg:innen aus anderen Ländern zu intensivieren. Denn: „Aktuell ist die Missbrauchsgefahr im weitgehend unregulierten und unkontrollierten Feld sehr hoch.“

12 Ergänzungen

  1. > Doch allein die Formulierungen im geplanten BND-Gesetz ließen den Schluss zu, dass dies längst geschehe und sich neben dem BND auch andere deutsche Dienste dieser Praxis der Informationsbeschaffung bedienten.

    Welche Textpassagen lassen diesen Schluß zu?

    1. Im Artikel zitiere ich auszugsweise, hier aber eine vollständige Passage, wegen Zeichenbegrenzung aufgeteilt:

      Zu § 10a (Übermittlung von personenbezogenen Daten aus allgemein zugänglichen Quellen)
      Die Regelung zur Übermittlung von personenbezogenen Daten aus allgemein öffentlichen Quellen ist neu.

      Zu Absatz 1

      Der Bundesnachrichtendienst setzt zur Informationsgewinnung nicht nur nachrichtendienstliche Mittel ein. Auch Informationen aus öffentlich zugänglichen Quellen werden erhoben und weiterverarbeitet. Dazu gehört die Auswertung von Fachzeitschriften, aber auch die Recherche im Internet und auf speziellen Datenbanken. Dies können auch zahlungspflichtige Angebote sein, die aber grundsätzlich allen offenstehen.

      Die erhöhten Übermittlungsschwellen für mit nachrichtendienstlichen Mitteln erhobene personenbezogene Daten werden mit den weitreichenden Überwachungsbefugnissen der Nachrichtendienste begründet (BVerfG, Beschluss vom 28. September 2022, 1 BvR 2354/13, Rn. 120). Erkenntnisse aus öffentlich zugänglichen Quellen werden im Gegensatz hierzu gerade nicht durch solche Befugnisse erhoben, sondern stehen allen offen oder gegen ein Entgelt zur Verfügung, so dass eine Gleichbehandlung dieser Daten mit solchen, die mit nachrichtendienstlichen Mitteln erhoben wurden, verfassungsrechtlich nicht geboten ist. Ein Eingriff in das allgemeine Persönlichkeitsrecht in der Ausprägung als Recht auf informationelle Selbstbestimmung nach Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 des Grundgesetzes ist in diesen Fällen in der Regel nicht gegeben (vergleiche BVerfG, Urteil vom 27. Februar 2008, 1 BvR 370/07, 1 BvR 595/07, Rn. 308).

      1. Indes ist auch hier keine schrankenlose Übermittlungsbefugnis vorgesehen. Auch diese Übermittlungsbefugnis unterliegt – wenn auch geringeren – Schranken. Die Übermittlung muss zur Erfüllung der Aufgaben des Empfängers oder der Aufgaben des Bundesnachrichtendienstes erforderlich sein. Mit dieser modifizierten Übermittlungsschwelle wird das Recht des Betroffenen wegen des geringeren Eingriffsgewichts hinreichend geschützt.

        Zu Absatz 2

        Für durch den Bundesnachrichtendienst systematisch aus allgemein zugänglichen Quellen erhobene oder gezielt zusammengeführte personenbezogene Daten zu einer Person (z. B. Nutzung der Daten für die Erstellung von Personagrammen) gelten allerdings die jeweils einschlägigen Übermittlungsvoraussetzungen in den Unterabschnitten 3 und 4. Werden allgemein zugängliche Informationen gezielt zusammengetragen und ausgewertet, kann sich hieraus eine besondere Gefahrenlage für die Persönlichkeit des Betroffenen ergeben. Diese personenbezogenen Daten sind daher von der Übermittlungsbefugnis nach Absatz 1 nicht erfasst.

        Diese Einordnung gilt auch für die Übermittlung von Daten aus dem Ankauf z. B. von umfänglichen Werbedatenbanken und anderen Datenbanken mit vergleichbarer Eingriffsintensität. Auch bei diesen Daten handelt es sich um allgemein verfügbare Daten, die in der Regel von kommerziellen Anbietern verkauft werden. Die Erhebung und Weiterveräußerung dieser Daten durch die kommerziellen Anbieter geschieht in der Regel mit der Zustimmung des Nutzers als Bestandteil der jeweiligen allgemeinen Geschäfts- und Nutzungsbedingungen. Da die Datenqualität solcher Daten jedoch mit den systematisch durch den Bundesnachrichtendienst erhobenen oder gezielt zusammengeführten Daten vergleichbar ist, entfällt die Privilegierung des Absatzes 1 und die Übermittlung solcher Daten durch den Bundesnachrichtendienst richtet sich nach den Regelungen der Unterabschnitte 3 und 4.

  2. … bitte konsumieren sie ordentlich! Achten Sie dabei stets auf richtige und vollständige Datensätze. Damit leisten Sie ihren Beitrag zur Sicherheit, damit wenigstens andere in Sicherheit und Ordnung weiter konsumieren können.

  3. Zitat Drucksache 20/8627: „Die Erhebung und Weiterveräußerung dieser Daten durch die kommerziellen Anbieter geschieht in der Regel mit der Zustimmung des Nutzers als Bestandteil der jeweiligen allgemeinen Geschäfts- und Nutzungsbedingungen. Da die Datenqualität solcher Daten jedoch mit den systematisch durch den Bundesnachrichtendienst erhobenen oder gezielt zusammengeführten Daten vergleichbar ist, entfällt die Privilegierung des Absatzes 1 und die Übermittlung solcher Daten durch den Bundesnachrichtendienst richtet sich nach den Regelungen der Unterabschnitte 3 und 4.“

    Mit Zustimmung zu den AGB wird also auch das Einverständnis zum Verkauf der Daten an Geheimdienste eingewilligt. Das kann man aber da nicht lesen. Ist mit unsichtbarer Tinte geschrieben. :}

  4. Auch russische und chinesische Geheimdienste können diese Daten kaufen. z.B. über Tarn Firmen.

    Im Endeffekt lässt die Politik es also zu das im westen auch politische Entscheidungsträger ganz einfach durch ausländische Geheimdienste ausgespäht und überwacht werden können. Das finde ich einfach unfassbar !

    Ganz zur Freude von FSB, GRU und co !

    Und die Meinstream Politik versucht noch nicht einmal etwas daran zu ändern.

    1. > Auch russische und chinesische Geheimdienste können diese Daten kaufen. z.B. über Tarn Firmen.

      Ist das ein wahrer Satz oder doch nur Bullshit-Produktion zum Zweck der Generierung einer emotionalisierten Piraten-Aufmerksamkeit?

      Wie realistisch ist es unter heutigen Bedingungen eine Tarnfirma zu gründen und wie lange bliebe deren Treiben im Internet unbemerkt?
      Kann jeder sensible Daten kaufen, mal abgesehen von geklauten Datensätzen im Darknet?

      1. Wenn schon der BND Escort-Services zur Tarnung nutzt

        (vgl.: https://wikileaks.org/wiki/German_Secret_Intelligence_Service_(BND)_T-Systems_network_assignments,_13_Nov_2008)

        und die NSA die Immerhin-Freundin Merkel abgehört hat, kann bzw. muss man bei ausländischen Geheimdiensten mit allem rechnen. Auch mit Tarnfirmen zum Erlangen bestimmter Daten. Über die Aktivität Chinas auf diesem Sektor existieren viele Berichte. Der „worst case“ muss mittlerweile die Standardannahme sein – leider.

      2. Das ist privater Datenhandel. Warum sollte das so abwegig sein?

        Es mag Gründe geben, aber sie besonders schöne grüne Grenze wurd es wohl nicht sein…

  5. Eine Frage drängt sich mit bei dem Begriff „Kauf“ (von Daten) auf. Geht es um den Kauf einer Kopie oder um die Exklusive Nutzungsübertragung an einem Datensatz?

    Im ersten Fall wären die Daten immer noch „in the Wild“ und könnten mehrfach verkauft werden. Bereicherungsabsicht sollte hier Strafbar sein – fände ich.
    Im Zweiten Falle wären diese dann „vom Markt“ und man könne steil argumentieren „Besser bei unserem Geheimdienst als woanders“ aber es stellt sich gleich die Anschlußfrage wie der Käufer das garantieren wollte – oder der Verkäufer dies nur könnte? Es werden ja kaum Muskelbepackt Trenchcoats beim säumigen Verkäufer die Tür ein treten… oder ähnliche Klischees. ;)

    Und wieder mal: Hätte man das zusammentragen dieser nicht notwendigen Datenberge gleich unter Strafe gestellt wäre nichts davon ein Problem geworden. Das Thema wirkt wie eine Meta-ebene einer Meta-ebene, das grundlegende Übel wird nicht behoben.

  6. Ich würde sagen das Problem nuss an der Quelle gelöst werden.
    Wieso gibt es diese Datenberge überhaupt?
    Adress und Datenhandel muss weg.

  7. Es ist erschreckend wie eng und selbstverständlich bundesdeutsche Sicherheitsbehörden und die (Sicherheits-)Wirtschaft zusammen arbeiten. Das dabei der behördliche Datenschutz gar nicht eingehalten werden kann liegt auf der Hand.
    In Brandenburg lässt sich die Polizei seit einigen Jahren bei Fahndungen (hoheitliche Aufgabe) durch kooperierende Sicherheitsfirmen unterstützen. Im hessischen Neu Isenburg schickte die örtliche Polizei bis in den letzten Herbst eine private Citystreife los um (originäre) hoheitliche Ordnungsaufgaben zu lösen – entgegen Recht & Gesetz.
    Bei den gemischten Streifen am Hamburger Hauptbahnhof bekommt z. B. die DB Sicherheit polizeiliche Abfrageergebnisse (z. B. Adressdaten und Einträge in den polizeilichen Auskunftssystemen) mit und notierte in der Vergangenheit fleißig mit.
    Von kooperierenden privaten Sicherheitsdiensten fordern Sicherheitsbehörden (z. B. Polizei & Ordnungsämter) ebenfalls Informationen und (relevante) Daten, sofern vorhanden.
    Bei diesen o. g. Beispielen habe ich nie erlebt, dass sich ein oberster Datenschützer an dieser Praxis störte und interveniert.
    Insofern wundert es mich nicht, dass bundesdeutsche Schlapphüte bei professionellen Datenhändlern Personendaten kaufen und es ihnen wurscht ist wie die Wirtschaft an diese Daten gekommen ist. Eine neue – kommerzielle – Form von public private partnership!

    https://www.maz-online.de/brandenburg/sicherheitsfirmen-und-polizei-ruecken-zusammen-YGYZ5RS2YTUOVCGDRKFOMUDIWM.html

    https://www.journal-frankfurt.de/journal_news/Politik-10/Privater-Sicherheitsdienst-als-City-Streife-Beschaeftigt-Neu-Isenburg-eine-Scheinpolizei-41310.html

    https://www.ndr.de/nachrichten/hamburg/Hamburger-Hauptbahnhof-Behoerden-wollen-mehr-Praesenz-zeigen,hauptbahnhof544.html

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.